ソフトウェア更新が脆弱性を塞ぐ仕組みと放置したときのリスク
対象の目安: これから学ぶ個人 / 入門

OSやアプリの更新通知が出ると、後回しにしたくなる場面は少なくありません。しかし更新の中身には、すでに見つかった弱点を塞ぐ修正が含まれます。この修正を当てないまま使い続けると、公開済みで誰でも知っている弱点を、そのまま攻撃の入口として残すことになります。本記事は、更新がどういう仕組みで弱点を塞ぐのか、放置すると何が起きるのか、自動更新やサポート終了をどう扱えばよいのかを、これから学ぶ個人向けに順を追って整理します。
更新が脆弱性を塞ぐ仕組み
ソフトウェアには、設計や実装の段階で気づかれなかった欠陥が残ることがあります。この欠陥のうち、攻撃に利用できるものを脆弱性と呼びます。総務省は、ソフトウェアには時間の経過とともに脆弱性が発見されることがあり、放置するとさまざまな攻撃のきっかけを与えてしまうと説明しています。脆弱性は最初から見えているわけではなく、製品が世に出たあとに研究者や開発元が見つけていきます。
脆弱性が見つかると、開発元はその欠陥を直したプログラムを作り、更新として配布します。利用者の端末がこの更新を適用すると、欠陥を含んでいた部分が修正済みのものに置き換わり、その脆弱性を使った攻撃の入口がふさがります。更新が「セキュリティ更新」や「セキュリティ修正」と呼ばれるのは、この弱点を塞ぐ働きを指しています。機能の追加や不具合の改善が同じ更新にまとまっていることも多く、見た目だけでは区別がつきません。
ここで押さえておきたいのは、脆弱性の情報が修正と前後して公開されるという点です。開発元が修正を出すとき、どの欠陥を直したかという情報もあわせて公表されます。脆弱性を識別する共通の番号としてCVEが使われ、その内容はIPAなどの脆弱性対策情報を通じて広く参照できます。つまり、修正が出た時点で「その製品にどんな弱点があったか」は、守る側にも攻める側にも同時に知られる状態になります。
放置すると既知の弱点を突かれる
脆弱性の情報が公開されると、その脆弱性は「既知の脆弱性」になります。認知や公開、悪用、修正の順序は一定ではなく、修正と詳細が同時に公表されることもあれば、修正より先に情報が出回ることもあります。いずれにせよ、更新を当てた端末では塞がれますが、当てていない端末では弱点が残ったままです。攻撃者は公開された脆弱性の情報をもとに、まだ更新していない端末を探して攻撃します。総務省が、通知が来たら面倒がらずに毎回更新することが重要だと述べているのは、この時間差が攻撃の余地になるためです。
放置した場合の影響は、その脆弱性が何を許すかによって変わります。攻撃者が遠隔から任意のプログラムを実行できる種類の脆弱性であれば、端末を乗っ取られ、保存された情報を盗まれたり、ランサムウェアによってファイルを暗号化されたりする経路になり得ます。すべての脆弱性が同じ深刻度ではありませんが、修正が出ている弱点を残すことは、対策が分かっている入口を開けたままにすることを意味します。
脆弱性ごとの深刻さと、実際に悪用されているかどうかを見分ける考え方は、別の記事で詳しく扱っています。
あわせて読みたい
脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方
公開された脆弱性が悪用されるまでの時間は、近年短くなっていると複数の調査で指摘されています。米国のCISAは、実際に悪用が確認された脆弱性をKnown Exploited Vulnerabilities (KEV)として継続的に公開しており、現実に攻撃へ使われた弱点が日々追加されています。公開から悪用までの具体的な日数は脆弱性や調査によって幅があるため一律には言えませんが、修正が出てから対応するまでの時間が短いほど安全側になるという方向は変わりません。更新を先送りする余地は、以前より狭まっていると考えるのが妥当です。
自動更新を有効にする意義と対象範囲
更新を毎回手作業で確認して適用するのは、対象が増えるほど抜けが出ます。そこで多くの製品には、更新を自動で取得して適用する自動更新の仕組みが用意されています。自動更新を有効にしておくと、修正が公開されてから適用されるまでの遅れが短くなり、更新を忘れている間に既知の弱点を突かれる窓が小さくなります。総務省も、自動更新の機能を無効にしないよう留意することを勧めています。
自動更新の対象はパソコンのOSだけにとどまりません。スマートフォンのOS、その上で動くアプリ、Webを見るためのブラウザも、それぞれが更新を持ち、脆弱性が見つかれば修正されます。さらに、家庭やオフィスのルータ、ネットワークカメラ、その他のインターネット接続機器も、ファームウェアと呼ばれる組み込みソフトウェアの更新によって脆弱性が修正されます。これらの機器は画面を持たず更新通知が目に入りにくいため、忘れられて古いまま放置されやすい点に注意が必要です。
- パソコンとスマートフォンのOSで自動更新を有効にする
- 利用しているアプリとブラウザを自動更新、または定期的な手動更新の対象にする
- ルータやネットワークカメラなどの機器に更新機能があるか確認し、あれば有効にする
- 自動更新が無い機器は、開発元の更新情報を定期的に確認する
外部に接続する機器の脆弱性が攻撃の入口になりやすい背景は、別の記事でも扱っています。
あわせて読みたい
境界に置くエッジ機器の脆弱性が侵入口として狙われる理由
サポート終了の意味とWindows 10の終了
更新は、製品がサポートされている間だけ提供されます。サポートの終了は、英語の頭文字からEOL (End of Life)やEOS (End of Support)と呼ばれます。両者は近い意味で使われますが、開発元によって指す範囲や時期が異なる場合があるため、対象製品の公式案内で確認するのが確実です。
- サポート終了(EOLやEOS):開発元がその製品への更新提供を原則として打ち切ること。終了後は、新たに脆弱性が見つかっても通常のセキュリティ修正が配布されなくなる。
サポート終了後に脆弱性が見つかると、通常の修正が出ないため弱点が残りやすくなります。終了直後は問題が表面化しなくても、時間が経つほど未修正の弱点が積み上がり、攻撃の入口として狙われやすくなります。ネットワークからの隔離や機能の制限といった緩和策はありますが、開発元による修正の代わりにはならないため、サポートが続く製品への移行が前提の対策になります。
身近な例がWindows 10です。MicrosoftはWindows 10 (バージョン22H2を含む各エディション)のサポートが2025年10月14日に終了したと案内しており、この日以降はセキュリティ更新プログラムを受け取れなくなるとしています。Microsoftは、対応する端末をWindows 11へアップグレードするか、新しいWindows 11搭載のPCへ置き換えることを案内しています。組織向けには拡張セキュリティ更新プログラム(ESU)という有償の延長手段も用意されていますが、これは恒久的なものではなく移行までの猶予として位置づけられます。手元のパソコンがWindows 10であれば、まずWindows 11へ移行できる端末かどうかを確認することが出発点になります。
更新するときに注意すること
更新は弱点を塞ぐ一方で、適用にあたって気をつける点があります。第一に、多くの更新は再起動を求めます。再起動が完了するまで修正が完全には反映されないため、通知が出たら作業の区切りで再起動を済ませることが必要です。第二に、まれに更新後にアプリの動作が変わったり互換性の問題が起きたりすることがあります。重要なデータは更新前にバックアップを取っておくと、不具合が起きても復旧の余地を残せます。
もう一つ注意したいのが、更新を装った偽の通知です。Webサイトの閲覧中に「ソフトウェアが古い」「今すぐ更新が必要」といった偽の警告を表示し、利用者にマルウェアをインストールさせようとする手口があります。本物の更新は、原則としてOSやアプリ自体の更新機能を通じて行われます。Webページやポップアップやメールのリンクからダウンロードするよう促される更新は、まず偽物を疑い、端末の設定画面や開発元の公式サイトから更新の有無を確認することが安全です。
注意
更新を当てていても、開発元が修正を用意する前から攻撃に悪用されている脆弱性(ゼロデイ)を突かれる可能性は残ります。更新はあくまで守りの土台であり、これだけですべての攻撃を防げるわけではありません。怪しいリンクを開かない、多要素認証を使う、バックアップを取るといった他の備えと組み合わせて初めて、被害に遭う確率を下げられます。
修正が存在しない段階の脆弱性が何を指すのかは、別の記事で基礎から説明しています。
あわせて読みたい
ゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか
更新の習慣づけは、特別な知識がなくても今日から始められる対策です。自動更新を有効にし、再起動の通知を放置せず、サポートが終了した製品を使い続けないという三つを押さえるだけで、既知の弱点を突かれる経路の多くを塞げます。守る対象を一つずつ確認し、自動更新でまかなえる範囲を広げていくことが、無理なく続けられる進め方です。
更新が脆弱性を修正する仕組みと自動更新の推奨については総務省のソフトウェアの最新化、脆弱性対策情報についてはIPA、実際に悪用が確認された脆弱性の一覧についてはCISA KEV、Windows 10のサポート終了についてはMicrosoft Lifecycleを参照しました。
出典・参考
関連する記事
会社支給とBYODで変わるモバイルデバイス管理(MDM)ツールの選び方
組織のスマートフォンやタブレット、PCを一元管理するMDMがどんな仕組みかを原理から示し、会社支給とBYODで変わる論点、対応OSやポリシー配布、リモートワイプ、条件付きアクセスといった選定指標、導入後の運用と退職時の失効までを、専任担当を置きにくい組織の視点で整理します。
ノートパソコンの盗難を防ぐセキュリティワイヤーロックの選び方
端末の物理盗難は、本体内のデータや保存された認証情報の流出につながります。ワイヤーロックの規格(Kensington Security SlotやNano、Wedge)の見分け方、鍵式とダイヤル式の違い、スロットが無い機器の代替手段を、メーカー公式やIPAの情報に基づいて整理します。
重要書類とバックアップ媒体を守る金庫の選び方を整理する
火災や盗難から重要書類やバックアップ媒体、復元情報を守る金庫は、耐火金庫と防盗金庫で守る対象が異なります。試験で区分される耐火時間や防盗のグレード、CPマークの意味、施錠方式や設置の勘どころを、業界団体や公的機関の情報に基づいて整理します。


